Le nouveau botnet EnemyBot DDoS recrute des routeurs et des IoT dans son armée

DDoS

Un nouveau malware botnet basé sur Mirai nommé Enemybot a été observé en train de développer son armée d’appareils infectés grâce à des vulnérabilités dans les modems, les routeurs et les appareils IoT, avec l’acteur de la menace qui l’exploite sous le nom de Keksec.

Le groupe de menaces particulier se spécialise dans le crypto-mining et les DDoS ; tous deux pris en charge par des logiciels malveillants de botnet qui peuvent s’imbriquer dans des appareils IoT et détourner leurs ressources de calcul.

Enemybot propose l’obscurcissement des chaînes tandis que son serveur C2 se cache derrière les nœuds Tor, donc le cartographier et le supprimer est assez difficile pour le moment.

Pourtant, il a été repéré dans la nature par des analystes des menaces à Fortinetqui ont échantillonné le logiciel malveillant, l’ont analysé et publié un rapport technique détaillé sur ses fonctions.

Capacités d’Enemybot

Lorsqu’un appareil est infecté, Enemybot commence par se connecter au C2 et attend les commandes à exécuter. La plupart des commandes sont liées aux attaques DDoS (déni de service distribué), mais le malware ne s’y limite pas strictement.

Plus précisément, Fortinet présente l’ensemble suivant de commandes prises en charge :

  • ADNS – Effectuer une attaque d’amplification DNS
  • ARK – Effectuez une attaque sur les serveurs du jeu « ARK : Survival Evolved »
  • BLACKNURSE – Inondez la cible avec des messages ICMP Destination Port Unreachable
  • DNS – Inonder les serveurs DNS avec des requêtes DNS UDP codées en dur
  • HOLD – Inonder la cible de connexions TCP et les maintenir pendant une durée spécifiée
  • HTTP – Inonder la cible de requêtes HTTP
  • JUNK – Inonder la cible avec des paquets UDP aléatoires non nuls
  • OVH – Inonder les serveurs OVH avec des paquets UDP personnalisés
  • STD – Inondez la cible avec des paquets UDP d’octets aléatoires
  • TCP – Inonder la cible de paquets TCP contenant des en-têtes de source usurpés
  • TLS – Effectuer une attaque SSL/TLS
  • UDP – Inondez la cible avec des paquets UDP contenant des en-têtes de source usurpés
  • OVERTCP – Effectuez une attaque TCP avec des intervalles de livraison de paquets aléatoires
  • STOP – Arrêtez les attaques DoS en cours
  • LDSERVER – Mettre à jour le serveur de téléchargement pour la charge utile de l’exploit
  • SCANNER – Propagation à d’autres appareils via le forçage brutal SSH/Telnet et les exploits
  • SH – Exécuter la commande shell
  • TCPOFF/TCPON – Activez ou désactivez le reniflage sur les ports 80, 21, 25, 666, 1337 et 8080, éventuellement pour collecter les informations d’identification
Comparaison des codes de scanner Enemybot et Mirai
Comparaison des codes de scanner Enemybot et Mirai (Fortinet)

Les commandes ciblant le jeu ARK et les serveurs OVH présentent un intérêt particulier, ce qui peut indiquer des campagnes d’extorsion ciblant ces sociétés.

En outre, la commande LDSERVER permet aux acteurs de la menace de publier de nouvelles URL pour les charges utiles afin de résoudre tout problème sur le serveur de téléchargement. C’est remarquable car la plupart des botnets basés sur Mirai ont une URL de téléchargement fixe et codée en dur.

Arches et défauts ciblés

Enemybot cible plusieurs architectures, des architectures courantes x86, x64, i686, darwin, bsd, arm et arm64, aux types de systèmes plus rares et obsolètes comme ppc, m68k et spc.

Ceci est très important pour les capacités de propagation du logiciel malveillant, car il peut identifier l’architecture du point pivot et récupérer le binaire correspondant à partir du C2.

Fichiers binaires vus dans le serveur de téléchargement exposé
Fichiers binaires vus dans le serveur de téléchargement exposé
(Fortinet)

En termes de vulnérabilités ciblées, Fortinet a constaté quelques différences dans les ensembles entre les variantes échantillonnées, mais les trois présentes partout sont :

  • CVE-2020-17456: Faille critique (CVSS 9.8) d’exécution de code à distance (RCE) dans les routeurs Seowon Intech SLC-130 et SLR-120S.
  • CVE-2018-10823: Faille RCE de gravité élevée (CVSS 8.8) affectant plusieurs routeurs D-Link DWR.
  • CVE-2022-27226: Injection arbitraire de tâches cron de haute gravité (CVSS 8.8) impactant les routeurs mobiles iRZ.
Modification de la crontab sur l'appareil cible
Modification de la crontab sur l’appareil cible (Fortinet)

D’autres défauts qui peuvent ou non être présents dans Enemybot selon la variante sont :

  • CVE-2022-25075 à 25084 : Ensemble de failles ciblant les routeurs TOTOLINK. Le même ensemble est également exploité par le botnet Beastmode.
  • CVE-2021-44228/2021-45046 : Log4Shell et les vulnérabilités critiques suivantes ciblant Apache Log4j.
  • CVE-2021-41773/CVE-2021-42013 : Cible les serveurs HTTP Apache
  • CVE-2018-20062 : cible le CMS ThinkPHP
  • CVE-2017-18368 : Cible les routeurs Zyxel P660HN
  • CVE-2016-6277 : cible les routeurs NETGEAR
  • CVE-2015-2051 : cible les routeurs D-Link
  • CVE-2014-9118 : Cible les routeurs Zhone
  • Exploit NETGEAR DGN1000 (aucun CVE attribué) : cible les routeurs NETGEAR

Éloignez les botnets

Pour empêcher Enemybot ou tout autre botnet d’infecter vos appareils et de les recruter dans des botnets DDoS malveillants, appliquez toujours les dernières mises à jour logicielles et micrologicielles disponibles pour votre produit.

Si votre routeur ne répond plus, que la vitesse d’Internet baisse et qu’il chauffe plus que d’habitude, vous avez peut-être affaire à une infection par un logiciel malveillant de type botnet.

Dans ce cas, effectuez une réinitialisation matérielle manuelle sur l’appareil, accédez au panneau de gestion pour modifier le mot de passe administrateur et installez enfin les dernières mises à jour disponibles directement à partir du site Web du fournisseur.